delay
2
高級測評師
CISM-WSE
delay2
高級測評師
CISM-WSE
蜜罐技術存在以下問題:
視野局限:蜜罐最大的問題就是視野的有限性,他們只能看到任何活動是直接針對他們自身的,如果某個攻擊者闖入了網絡中并攻擊了很多系統蜜罐會意識不到這些活動的進行,除非他本身遭受到直接的攻擊。如果攻擊者識別出了蜜罐的所在,很容易避開該系統。蜜罐的數據收集的價值有一種顯微鏡效應,可以幫助使用人員密切關注價值明了的數據,但是顯微鏡效應會忽略掉一些發生在周圍的事情。
指紋容易被識別:蜜罐的一個缺點就是其指紋容易被識別到,這種情況大多出現在商用的蜜罐中,因為商用的蜜罐系統具備一些特定的預期特征或者行為,因而能夠被攻擊者識別出其真實的身份情況。
自身存在安全風險:這里所說的風險,指的是一個蜜罐一且遭受了攻擊,就可以被用于攻擊、滲透,甚至危害其他的系統或者組織。不同的蜜罐具有不同級別的風險性。有些只會招致很低的風險,而另一些則有可能會將整個平臺讓攻擊者以啟動新的攻擊。蜜罐越簡單,其風險性越小。僅僅模擬幾種服務的蜜罐是很難被攻破井用來攻擊其他系統的。
低交互性蜜罐易被攻破:現在市場主流的蜜罐分高中低三類,訴求和解決的問題也不一樣,如果要真實模擬環境,高交互蜜罐最合適,實現起來也更復雜,但是市面大部分蜜罐都低交互,稍微有點經驗的黑客就能攻破;
覆蓋范圍小:蜜罐是被動放在那里,等待黑客自己進來,如果有多臺服務器部署一臺蜜罐是無法完全防護的,但因為成本問題則也無法根據服務器數量部署相同數量蜜罐;
攻擊溯源困難:如果采用高交互蜜罐,黑客入侵進去以后,怎么記錄所有黑客的攻擊,在蜜罐里裝監控,黑客很容易就能發現,而且還能 kill 該監控,一般黑客都是攻擊腳本不落盤,木馬程序直接內存運行,沒有辦法拿到黑客樣本,溯源非常困難;
無法動態實時防御:蜜罐僅僅只能對攻擊進行溯源、分析,不能做到根據黑客的行為,預測黑客的下一步,做到防范于未然;
未網絡隔離風險增加:黑客入侵蜜罐,如果蜜罐沒做任何網絡隔離,可能就會通過蜜罐做橫向攻擊;
要使蜜罐更加安全應使蜜罐具備以下功能技術:
IP空間欺騙技術:IP空間欺騙利用計算機的多宿主能力在一塊兒網卡上分配多個IP地址來增加入侵者的搜索空間來從而顯著增加他們的工作量。這項技術和虛擬機技術結合可建立一個大的虛擬網段,且花費極低。蜜罐系統采用APR地址欺騙技術,探測現有網絡環境中不存在的IP地址,并發送APR數據包假冒不存在的主機從而達到IP欺騙的效果,例如典型的使用這種技術的蜜罐Honeyd。
組織信息欺騙技術:如果某個組織提供有關個人和系統信息的訪問,那么欺騙也必須以某種方式反映出這些信息。例如,如果組織的DNS服務器包含了個人系統擁有者及其位置的詳細信息,那么你就需要在欺騙的DNS列表中具有偽造的擁有者及其位置,否則欺騙很容易被發現。而且,偽造的人和位置也需要有偽造的信息如薪水、預算和個人記錄等等。
模擬系統漏洞和應用服務技術:模擬系統漏洞和應用服務為攻擊者提供的交互能力比端口模擬高得多。它們可以預期一些活動,并且旨在可以給出一些端口響應無法給出的響應。譬如,可能有一種蠕蟲病毒正在掃描特定的IIS漏洞,在這中情況下,可以構建一個模擬MicrosoftIISWeb服務器的honeypot,并包括通常會伴該程序的一些額外的功能或者行為。無論何時對該honeypot建立HTTP連接,它都會以一個IISWeb服務器的身份加以響應,從而為攻擊者提供一個與實際的IISWeb服務器進行交互的機會。這種級別的交互比端口模擬所收集到的信息要豐富得多。
流量仿真技術:入侵者侵入系統后,他們的動作通常是小心、謹慎的。他們可能會使用一些工具分析系統的網絡流量,如果發現系統少有網絡流量,那系統的真實性勢必會受到懷疑。流量仿真是利用各種技術產生欺騙的網絡流量使流量分析不能檢測到欺騙。現在主要的方法有兩種。一是采用實時或重現的方式復制真正的網絡流量,這使得欺騙系統與真實的系統十分相似。二是從遠程偽造流量,使入侵者可以發現和利用。
模擬服務端口技術:偵聽非工作的服務端口是誘騙黑客攻擊的常用欺騙手段。當黑客通過端口掃描檢測到系統打開了非工作的服務端口,他們很可能主動向這些端口發起連接,并試圖利用已知系統或應用服務的漏洞來發送攻擊代碼。而蜜罐系統通過端口響應來收集所需要的信息。
網絡動態配置技術:真實網絡系統的狀態一般會隨時間而改變的,如果欺騙是靜態的,那么在入侵者的長期監視下欺騙就容易暴露。因此需要動態地配置我們的系統以使其狀態象真實的網絡系統那樣隨時間而改變,從而更接近真實的系統,增加蜜罐的欺騙性。
模擬網絡服務技術:網絡服務往往與特定的系統漏洞聯系在一起,網絡服務往往是攻擊者侵入系統的入口,網絡服務可以吸引黑客的注意,同時也使蜜罐更接近一個真實的系統。
推薦文章
